Современные web-приложения существенно отличаются от стандартных информационных ресурсов  благодаря разнообразию, акценту на взаимодействие с пользователем и высокой степени интерактивности. При этом до сих пор не существует единственного  эталонного стандарта в разработке ПО для веб-приложений, что может привести к ошибкам при программировании и открытию потенциальных возможностей для проникновения вредоносных программ на сайт. Остается надеяться только на профессионализм служб ИБ, своевременное детектирование угроз и внесение заплаток в зачастую уже скомпрометированную систему безопасности веб-приложения.

Ситуацию усугубляет также тот факт, что ставшие уже привычными эффективные средства для защиты сайта (IPS и межсетевые экраны нового поколения) не обеспечивают должный уровень безопасности в контексте веб-технологий. Специфика работы приложений и передача трафика через порты 443 (HTTPS) и 80 (HTTP) предполагает, что доступ к веб-ресурсу должен быть неограничен, поэтому стандартная практика блокировки трафика на уровне порта не будет действовать в случае с приложениями.

Виды атак и основные уязвимости веб-приложений

Разнообразная архитектура, высокая степень распространения и интеграция web-приложений в сетевую инфраструктуру делает их главной мишенью для хакеров. В своей основе методы злоумышленников остались практически неизменными и направлены на следующие уязвимости:

  • SQL инъекции;
  • Межстайтовая подделка запросов;
  • Отсутствие функции контроля доступа;
  • Межсайтовый скриптинг;
  • Чувствительная экспозиция данных;
  • Автоматизированный перебор паролей (brute-force атаки);
  • Межсайтовая подделка запросов;
  • Удаленный и локальный инклуд;
  • Непроверенный переход и редирект.

Если на стадии разработки приложения не были выявлены аномалии в работе ПО, то даже низкоквалифицированный хакер без использования специализированных средств может скомпрометировать систему безопасности сети. Зачастую одного браузера достаточно для осуществления вредоносных целей и взлома web-приложения.

Комбинированный анализ на основе сигнатур и машинного обучения позволяет «Nemesida WAF» обеспечивать круглосуточную защиту интернет-магазинов, порталов, API и прочих веб-приложений от хакерских атак, в том числе от атак нулевого дня.

Виды хакерских атак на сайты

Отдельно стоит сказать про так называемые уязвимости нулевого дня. Они специфичны для каждого отдельного приложения и об их существовании становится известно еще до момента разработки защитных механизмов. Благодаря уязвимости нулевого дня злоумышленники могут в течение нескольких месяцев эксплуатировать брешь в защите приложения, так как на детектирование, локализацию и устранения проблемы службам интернет безопасности приходится тратить непозволительно много времени.

С задачей результативного противодействия 0day-угрозам не сможет справиться стандартный метод сигнатурного анализа данных. Классические системы защиты не в состоянии выявить заранее не сконфигурированные паттерны и сигнатуры, поэтому рекомендуется отдать предпочтение машинному обучению и проактивным технологиям (анализ поведения, эмуляция кода, эвристический анализ), которые работают на предотвращение заражения вредоносным ПО.

 Межсетевой экран для веб-приложений

Как можно догадаться из названия, устройства WAF (Web Application Firewall) разработаны для устранения уязвимостей только в рамках веб-приложений. В этом их слабость, но в том числе и преимущество, так как WAF решения (виртуальные или аппаратные) справляются с задачей устранения неисправностей в веб-приложениях на порядок лучше IPS и NGFW. С основными отличиями межсетевых экранов для веб-приложений от устаревших защитных систем вы можете ознакомиться на изображении ниже.

Основные преимущества Web Application Firewall

WAF функционирует как прокси-сервер и, анализируя протоколы HTTP/HTTPS,  пропускает только безопасные запросы от пользователей. Обнаружение аномалий в работе приложений производится как с помощью классического сигнатурного анализа с постоянно обновляемой библиотекой вредоносных сигнатур, так и, что немаловажно, с помощью машинного обучения. Интеллектуальная система обнаружения атак работает в автоматизированном режиме и благодаря тонкой настройке под каждое отдельное приложение может без участия программистов выпустить пакет исправлений для системы и защитить сайт даже от атаки нулевого дня.

Установка Web Application Firewall – это эффективное решение для противодействия хакерским атакам на веб-приложения. Но не стоит забывать, что при значительном количестве достоинств устройства WAF представляют собой рабочий инструмент, результативность которого во многом зависит от качественного администрирования и разработчика ПО.

Проанализировав несколько известных решений в российском сегменте WAF разработок, команда Cadelta.ru решила воспользоваться услугами Nemesida WAF от компании Pentestit.

Почему Cadelta.ru выбрала Nemesida WAF

На собственном примере испытав трудности с защитой web-приложения, мы начали поиск подходящего WAF решения по трем критериям:

  • Положительная репутация;
  • Возможность «разгрузить» технический персонал и передать часть полномочий по интернет безопасности проверенным специалистам;
  • Адекватное ценообразование.

Мы остановили свой выбор на Nemesida WAF, обладающий всеми указанными в статье преимуществами межсетевых экранов веб-приложений и делающий ставку не столько на сигнатурный анализ, сколько на машинное обучение. Модуль Nemesida AI воплотил в себе элементы индуктивного обучения в реальном времени и дедуктивного, который основан на переносе в базу данных программы знаний экспертов по защите веб-технологий. Интеллектуальный подход к системе безопасности позволил значительно снизить количество ложных срабатываний и выявить уязвимости нулевого дня, блокировать распределенные и другие виды brute-force атак, а также обнаружить иные критические угрозы из OWASP Топ 10.

Лучше всего эффективность работы Nemesida WAF демонстрирует отчет по атакам на Cadelta.ru за последнюю неделю 2018 года. Только за 31 декабря WAF обнаружил 7006 вредоносных попыток проникновения на сайт, большая часть из которых осуществлялась с помощью brute-force атак, XSS (межсайтовый скриптинг) и SQLi инъекций.

 Nemesida WAF - лучшее решение для защиты сайтов и web-приложений

На основе результативного сотрудничества с Nemesida WAF мы можем рекомендовать российскую разработку как оптимальное средство для защиты веб-приложений. Также отметим, что Nemesida WAF доступна в виде установочного дистрибутива или облачного сервиса.